Kaiser Permanente, une organisation américaine de soins de santé intégrés, qui combine les fonctions d'un assureur santé et d'un prestataire de services médicaux, a révélé une brèche de données qui a touché plus de 13 millions d'individus, suite à une transmission involontaire d'informations personnelles via des technologies en ligne sur ses sites web et applications mobiles. La plus importantes fuites de données enregistrée en 2024 pour les Etats-Unis.
Le géant de la santé a identifié que des technologies précédemment installées sur ses plateformes numériques ont transmis des données personnelles à des tiers, notamment Google, Microsoft Bing et X (anciennement Twitter), lors de l'accès des utilisateurs à ses services en ligne. Ces données incluaient des adresses IP, des noms et des détails sur les interactions et navigations des utilisateurs, bien que des informations hautement sensibles comme les numéros de sécurité sociale ou les détails de compte bancaire n'aient pas été partagées.
Kaiser Permanente a confirmé le partage de données personnelles avec des annonceurs via des "pixels de suivi", qui sont généralement des fragments de code JavaScript ou des balises HTML intégrés dans les pages web. Lorsqu'un utilisateur consulte la page, ce code se déclenche et envoie une requête à un serveur externe pour enregistrer l'activité. Ces outils, souvent utilisés pour recueillir des données personnelles destinées à l'analyse, sont partagés avec des experts en marketing, publicité et courtage de données. Suite à une enquête interne volontaire, la société a retiré ces "pixels de suivi" de ses sites et applications mobiles.
En dépit de l'absence d'une cyberattaque malveillante, Kaiser Permanente a pris la décision de notifier cet incident à environ 13,4 millions de membres actuels et anciens par mesure de précaution. Cette fuite a été officiellement signalée aux instances officielles.
Cette divulgation s'inscrit dans un contexte plus large où les risques de cybersécurité dans le secteur de la santé sont devenus une préoccupation majeure. L'augmentation des incidents nécessite des notifications obligatoires de brèche selon la réglementation HIPAA, soulignant l'importance de la protection des informations des patients.
La situation de Kaiser Permanente illustre également la complexité des technologies modernes et les défis qu'elles posent en termes de confidentialité et de sécurité des données.
Kaiser Permanente exploite 40 hôpitaux et plus de 600 centres médicaux répartis en Californie, Colorado, Washington D.C., Géorgie, Hawaï, Maryland, Oregon et Virginie. En juin 2022, l'organisation de soins de santé a révélé avoir subi une fuite de données, affectant les informations de santé de plus de 69 000 patients. À cette occasion, un cybercriminel avait réussi à pénétrer dans le compte de messagerie d'un employé, accédant ainsi à des données de santé protégées, incluant des résultats d'analyses médicales.
L'année 2023 a vu un nombre record de 725 grandes brèches de sécurité signalées dans le domaine de la santé aux Etats-Unis, surpassant le précédent record de 720 incidents rapporté l'année dernière, soulignant l'urgence croissante de renforcer les mesures de sécurité informatique dans le secteur de la santé.